spring-security SecurityContextHolder

最新推荐文章于 2024-06-06 09:04:15 发布
最新推荐文章于 2024-06-06 09:04:15 发布
阅读量1.1k 收藏 19
点赞数 21
分类专栏: Spring Security 文章标签: spring security spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m13012606980/article/details/136057651
版权
本文详细解释了SpringSecurity6.2.1中SecurityContextHolder的作用,包括如何设置、获取已验证用户信息以及不同存储模式的选择。重点介绍了如何在多线程环境中安全地使用SecurityContext和不同应用场景的配置方法。
摘要由CSDN通过智能技术生成

翻译版本【spring-security 6.2.1SecurityContextHolder

SecurityContextHolder

Spring Security身份验证模型的核心是SecurityContextHolder。它包含SecurityContext。
在这里插入图片描述
SecurityContextHolder是Spring Security存储身份验证详细信息的地方。Spring Security并不关心SecurityContextHolder是如何填充的。如果包含值,则使用该值作为当前认证的用户。

表明用户已通过身份验证的最简单方法是直接设置SecurityContextHolde

设置SecurityContextHolder

SecurityContext context = SecurityContextHolder.createEmptyContext();// 1
Authentication authentication =
    new TestingAuthenticationToken("username", "password", "ROLE_USER");// 2
context.setAuthentication(authentication);

SecurityContextHolder.setContext(context);// 3
  1. 我们首先创建一个空的SecurityContext。您应该创建一个新的SecurityContext实例,而不是使用SecurityContextHolder.getContext().setAuthentication(authentication)来避免多个线程之间的竞争条件。
  2. 接下来,我们创建一个新的Authentication对象。Spring Security并不关心在SecurityContext上设置了什么类型的身份验证实现。在这里,我们使用TestingAuthenticationToken,因为它非常简单。更常见的生产场景是使用UsernamePasswordAuthenticationToken(userDetails, password, authorities)。
  3. 最后,我们在SecurityContextHolder上设置SecurityContext。Spring Security使用此信息进行授权。

要获取有关已验证主体(authenticated principal)的信息,请访问SecurityContextHolder。

访问当前经过身份验证的用户

SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
String username = authentication.getName();
Object principal = authentication.getPrincipal();
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();

默认情况下,SecurityContextHolder使用ThreadLocal来存储这些详细信息,这意味着SecurityContext始终可用于同一线程中的方法,即使SecurityContext没有明确地作为参数传递给这些方法。如果您在处理当前主体的请求后注意清除线程,那么以这种方式使用ThreadLocal是非常安全的。Spring Security的FilterChainProxy确保始终清除SecurityContext。

有些应用程序并不完全适合使用ThreadLocal,因为它们使用线程的特定方式。例如,Swing客户端可能希望Java虚拟机中的所有线程使用相同的安全上下文。您可以在启动时使用策略配置SecurityContextHolder,以指定希望如何存储上下文。对于独立的应用程序,您可以使用SecurityContextHolder.MODE_GLOBAL模式。其他应用程序可能希望由安全线程派生的线程也采用相同的安全特性。你可以通过使用SecurityContextHolder.MODE_INHERITABLETHREADLOCAL来实现这一点。MODE_THREADDLOCAL有两种方式。第一种是设置系统属性。第二种方法是调用SecurityContextHolder上的静态方法。大多数应用程序不需要更改默认值。但是,如果需要,请查看SecurityContextHolder的JavaDoc以了解更多信息。

zhaoll98k
关注
  • 21
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SecurityContextHolder和SecurityContext
也许是我送你哦
05-19 569
SecurityContextHolder.getContext().setAuthentication(authentication); 走源码,发现是ThreadLocal //当前线程 private static SecurityContextHolderStrategy strategy; public static SecurityContext getContext() { return strategy.getContext(); } ThreadLocalSecurityCon
spring-security-web源码所需jar包
12-03
《Spring Security Web源码解析与相关依赖》 Spring Security Web是Spring Security框架的重要组成部分,它主要负责Web应用程序的安全性,包括认证和授权等核心功能。本文将深入探讨Spring Security Web的源码,并...
Spring Security —05—认证用户数据
weixin_48994585的博客
08-22 982
以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据,保存到SecurityContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中,然后将SecurityContextHolder 中的数据清空。的默认存储策略,这种存储策略意味着如果在具体的业务处理代码中,开启了子线程,在子线程中去获取登录用户数据,就会获取不到。
SpringSecurity6从入门到实战之默认用户的生成流程
最新发布
helloworld工程师的博客
06-06 285
这次还是如标题所示,上一章我们的登录页面已经知道是如何生成了.那么,我们通过表单登录的user用户以及密码SpringSecurity是如何进行生成的呢?
核心组件之SecurityContextHolder
dieqiuxie4160的博客
08-04 632
作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户的信息。 上下文细节怎么表示? 用SecurityContext对象来表示 每个用户都会有它的上下文,那这个SecurityContext保存在哪里呢? 存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolder。 SecurityCo...
SecurityContextHolder
weixin_57128596的博客
09-14 2548
SecurityContextHolder是Spring Security的一个组件,其实它是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。(62条消息) ThreadLocal_Fairy要carry的博客-CSDN博客使用了ThreadLocal机制来保存每个使用者的安全上下文。根据Servlet规范,一个的处理不管经历了多少个Filter,自始至终都由同一个线程来完成。
Spring-security-test
03-22
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,专为 Java 应用程序设计。这个项目,"Spring-security-test",很可能是用来演示或测试 Spring Security 的功能和集成方式。在深入讨论之前,...
spring-boot-security
07-16
3. **使用Spring Security的API**:在你的控制器或其他服务中,可以注入`Authentication`和`SecurityContextHolder`来获取当前用户的认证信息。 4. **错误处理**:Spring Security默认提供了一些错误页面,但你可以...
spring-security初体验demo
01-30
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的Web应用程序。这个"spring-security初体验demo"很可能是为了帮助初学者理解如何在实际项目中集成和配置Spring Security。...
ssm-spring-security-Aop.zip
09-05
【标题】"ssm-spring-security-Aop.zip" 涉及的核心技术是Spring Security与AOP在SSM(Spring、SpringMVC、MyBatis)框架中的集成应用,主要目的是实现安全登录功能并利用AOP进行日志记录并存入数据库。 【描述】...
SecurityContextHolder, SecurityContext and Authentication Objects
Stainky的专栏
10-12 1704
SecurityContextHolder, SecurityContext and Authentication Objects 最重要并且最根本的object是SecurityContextHolder,我们将当前应用security上下文的所有数据保存在里面,这些数据包括应用系统中使用的principle数据。SecurityContextHolder默认使用ThreadLocal局部变量
安全认证之SecurityContextHolder
热门推荐
花&败
11-28 2万+
简介 1)SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
[SpringSecurity5.6.2源码分析九]:SecurityContextHolder
qq_41662584的博客
09-15 185
【代码】[SpringSecurity5.6.2源码分析九]:SecurityContextHolder
Spring Security(学习笔记)-SecurityContextHolder
TONGZHOUGONGDU的博客
04-22 1042
匿名访问,多线程获取用户信息。
SecurityContextHolder详解
小汤圆
08-10 4422
SecurityContextHolder
SecurityContextHolder解析
嘿!没错,我是李先生
02-19 3838
作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户信息。 每个用户都有自己的SecurityContext,存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolderSecurityContextHolder存储SecurityContext的方式: 1 单机系统:应用从开启到关闭的整个生命周期只有一个用户在使用。由于整个应用...
websocket配合spring-security使用token认证
05-21
可以通过在Spring Security中配置一个Token认证过滤器来实现基于WebSocket的Token认证。具体步骤如下: 1. 创建一个TokenAuthenticationFilter类,继承自OncePerRequestFilter并实现doFilterInternal方法。该类负责检查请求中是否包含有效的Token,并进行相应的认证处理。 ```java public class TokenAuthenticationFilter extends OncePerRequestFilter { private final TokenProvider tokenProvider; public TokenAuthenticationFilter(TokenProvider tokenProvider) { this.tokenProvider = tokenProvider; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = getTokenFromRequest(request); if (StringUtils.hasText(token) && tokenProvider.validateToken(token)) { Authentication authentication = tokenProvider.getAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } filterChain.doFilter(request, response); } private String getTokenFromRequest(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 2. 创建一个TokenProvider类,用于生成Token和验证Token的有效性,并根据Token获取用户信息。 ```java @Component public class TokenProvider { private static final String SECRET_KEY = "my-secret-key"; private static final long EXPIRATION_TIME = 86400000; // 1 day public String generateToken(Authentication authentication) { UserPrincipal principal = (UserPrincipal) authentication.getPrincipal(); Date expirationDate = new Date(System.currentTimeMillis() + EXPIRATION_TIME); return Jwts.builder() .setSubject(Long.toString(principal.getId())) .setIssuedAt(new Date()) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } public Authentication getAuthentication(String token) { Claims claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody(); Long userId = Long.parseLong(claims.getSubject()); UserPrincipal principal = new UserPrincipal(userId); return new UsernamePasswordAuthenticationToken(principal, "", principal.getAuthorities()); } } ``` 3. 在配置类中注册TokenAuthenticationFilter和TokenProvider,并将TokenAuthenticationFilter添加到Spring Security的过滤器链中。 ```java @Configuration @EnableWebSocketMessageBroker public class WebSocketConfig implements WebSocketMessageBrokerConfigurer { @Autowired private TokenProvider tokenProvider; @Override public void configureMessageBroker(MessageBrokerRegistry config) { config.enableSimpleBroker("/topic"); config.setApplicationDestinationPrefixes("/app"); } @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint("/ws").setAllowedOriginPatterns("*").withSockJS(); } @Override public void configureClientInboundChannel(ChannelRegistration registration) { registration.interceptors(new ChannelInterceptorAdapter() { @Override public Message<?> preSend(Message<?> message, MessageChannel channel) { StompHeaderAccessor accessor = MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class); if (StompCommand.CONNECT.equals(accessor.getCommand())) { String token = accessor.getFirstNativeHeader("Authorization"); if (StringUtils.hasText(token) && token.startsWith("Bearer ")) { token = token.substring(7); TokenAuthenticationFilter filter = new TokenAuthenticationFilter(tokenProvider); SecurityContextHolder.getContext().setAuthentication(filter.getAuthentication(token)); } } return message; } }); } @Override public void configureClientOutboundChannel(ChannelRegistration registration) { } @Override public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) { } @Override public void addReturnValueHandlers(List<HandlerMethodReturnValueHandler> returnValueHandlers) { } @Override public boolean configureMessageConverters(List<MessageConverter> messageConverters) { return true; } @Override public void configureWebSocketTransport(WebSocketTransportRegistration registry) { } @Bean public TokenAuthenticationFilter tokenAuthenticationFilter() throws Exception { TokenAuthenticationFilter filter = new TokenAuthenticationFilter(tokenProvider); filter.setAuthenticationManager(authenticationManager()); return filter; } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()) .passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override @Bean public UserDetailsService userDetailsService() { return new UserDetailsServiceImpl(); } } ``` 在上述代码中,我们通过重写configureClientInboundChannel方法,在连接到WebSocket时获取请求中的Token,并使用TokenAuthenticationFilter进行认证。注意,我们需要将TokenAuthenticationFilter添加到Spring Security的过滤器链中,以便它能够在WebSocket连接期间对请求进行拦截。 最后,我们需要在客户端的连接请求中添加Authorization头部,以便在服务端进行Token认证。例如: ```javascript stompClient.connect({}, function(frame) { console.log('Connected: ' + frame); stompClient.subscribe('/topic/greetings', function(greeting) { showGreeting(JSON.parse(greeting.body).content); }); }, function(error) { console.log('Error: ' + error); }, {"Authorization": "Bearer " + token}); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值